<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Hi zusammen,</p>
<p>André hat recht: für einen gültigen DMARC reicht SPF <u>ODER </u>DKIM
- allerdings plus Alignment.</p>
<p>Der Alignment part wird oft übersehen, da vermute ich auch dein
Problem.</p>
<p>Beispiel:</p>
<p>Du verwendest foo.com im FROM, signierst aber (gültig) DKIM mit
bar.com - im Ergebnis hast du aus DMARC Sicht keine gültige DKIM
Prüfung, weil du nicht mit der im FROM verwendeten Domain
signierst hast.<br>
</p>
<p>Das gleiche gilt für SPF: Wenn du im FROM eine andere Domain
verwendest wie im ENVELOPE ("Return-Path"), dann fehlt das
Alignment, egal ob der reine SPF Eintrag passt oder nicht.</p>
<p>Wenn du nicht weiterkommst, schick mir mal den kompletten Header
deiner abgelehnten Mail, dann sag ich dir, woran es gehakt hat.</p>
<p>Viele Grüße,<br>
</p>
<p>Florian Vierke
</p>
<pre class="moz-signature" cols="72">mobile: +49 177 8079538
Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April?</pre>
<div class="moz-cite-prefix">Am 23.12.2022 um 14:23 schrieb Jan via
Postfixbuch-users:<br>
</div>
<blockquote type="cite"
cite="mid:d10edbe31263fb5db5ff2c74826fd47a@wessel-nienburg.de">Moin,
<br>
<br>
bei DMARC müssen SPF und DKIM passen, sonst tritt "p" in Kraft
(siehe Fehlermeldung). SPF wird nur auf die Envelope-Adresse
angewendet. Bei DMARC zusätzlich auch die From-Adresse.
<br>
<br>
Viele Grüße
<br>
Jan
<br>
<br>
Am 23.12.2022 13:54, schrieb Andre via Postfixbuch-users:
<br>
<blockquote type="cite">Moin,
<br>
<br>
<blockquote type="cite">Allerdings ist SPF alles andere als
unumstritten...
<br>
</blockquote>
<br>
Ja, sehe ich auch so. Schwachstellen im Design, wie hier die
Erfahrung mit den Subdomains zeigt.
<br>
<br>
Hab hier noch einen Fall.
<br>
<br>
Ich verwalte die Domain und habe SPF, DKIM und DMARC ist
eingerichtet, nennen wir sie hier example.com.
<br>
<br>
Der Kunde versendet vom google Mailserver und hat in seinem
Thunderbird <a class="moz-txt-link-abbreviated" href="mailto:kunde@gmail.com">kunde@gmail.com</a> als Benutzername und Absender
<a class="moz-txt-link-abbreviated" href="mailto:mail@example.com">mail@example.com</a> eingerichtet.
<br>
<br>
Im SPF von example.com habe ich google-Mailserver inkludiert,
sodass SPF nachweislich passt.
<br>
<br>
Die Mails von dem Kunden werden nicht signiert versendet.
<br>
<br>
Hier mein DMARC-Eintrag.
<br>
<br>
v=DMARC1; p=reject;
<br>
<br>
Schickt er sich selbst eine E-Mail, also an <a class="moz-txt-link-abbreviated" href="mailto:kunde@gmail.com">kunde@gmail.com</a>,
wird diese von google mit folgender Begründung nicht angenommen:
<br>
<br>
-------------------------------
<br>
Action: failed
<br>
Status: 5.7.26
<br>
Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from
example.com is not accepted due to
<br>
550-5.7.26 domain's DMARC policy. Please contact the
administrator of
<br>
550-5.7.26 example.com domain if this was a legitimate mail.
Please visit
<br>
-------------------------------
<br>
<br>
Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM
stimmen, oder halt beide, damit die Prüfung durchgeht. In diesem
Fall stimmt ja der SPF.
<br>
<br>
Warum wird die Mail trotzdem nicht angenommen?
<br>
Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen?
<br>
<br>
--
<br>
LG
<br>
Andre
<br>
</blockquote>
<br>
</blockquote>
</body>
</html>